V Google Play byly další aplikace s malwarem. Hackeři skrz ně mohli napadnout celý telefon

V Google Play byly další aplikace s malwarem. Hackeři skrz ně mohli napadnout celý telefon

Výzkumný tým společnosti Check Point v uplynulých týdnech objevil v marketu Google Play devět aplikací obsahující nebezpečný malware. V aplikacích byl ukrytý škodlivý program Clast82 typu dropper (tzv. kapátko), který do telefonu dokáže bez vědomí uživatele nainstalovat („nakapat“) další malware a vyhnout se kontrolám ze strany Google Play. Hackeři pak s pomocí tajně instalovaného malwaru mohou na dálku prakticky kompletně ovládnout telefon oběti.

Celý útok je velmi sofistikovaný a obsahuje narušení hned v několika typech aplikací. Clast82 nainstaluje do mobilu malware v podobě služby AlienBot Banker, který cílí na finanční aplikace a dokáže obejít dokonce i zabezpečení pomocí dvoufaktorových autentizačních kódů. Clast82 současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce.

Zároveň s tím útočníci použili mechanismy na obejití kontrolních mechanismů Google Play, které mají běžně za úkol detekovat škodlivé aplikace. Pro komunikaci s řídicím C&C serverem je využívána platforma Firebase vlastněná Googlem. Když Google Play testuje a hodnotí aplikace, hacker změní konfiguraci C&C serveru pomocí Firebase. V kritickou chvíli „zakáže“ škodlivé chování Clast82, aby aplikace nevyvolala podezření. Jako hostitelská platforma pro stahování škodlivého obsahu je používán GitHub. Hacker tak může distribuovat další škodlivý obsah na všechna zařízení infikovaná jednotlivými škodlivými aplikacemi.

Hackeři „nakazili“ dropperem Clast82 tyto známé aplikace pro Android:

Název aplikace

Název balíčku

Cake VPN

com.lazycoder.cakevpns

Pacific VPN

com.protectvpn.freeapp

eVPN

com.abcd.evpnfree

BeatPlayer

com.crrl.beatplayers

QR/Barcode Scanner MAX

com.bezrukd.qrcodebarcode

eVPN

com.abcd.evpnfree

Music Player

com.revosleap.samplemusicplayers

tooltipnatorlibrary

com.mistergrizzlys.docscanpro

QRecorder

com.record.callvoicerecorder

Check Point odhalil zranitelnost v marketu Google Play a následně o nálezu informoval 28. ledna 2021 společnost Google. Už 9. února 2021 Google potvrdil, že všechny odhalené aplikace infikované dropperem Clast82 byly z Google Play odstraněny. „Hacker, který stojí za mobilní hrozbou Clast82, dokázal obelstít ochranu Google Play kreativním a zároveň znepokojivým způsobem. Jednoduše manipuloval snadno dostupnými zdroji třetích stran, jako jsou účty na GitHub nebo FireBase. Oběti si myslely, že stahují neškodnou utilitu z oficiálního obchodu pro Android, ale ve skutečnosti si stáhly také nebezpečný trojan, který cílil na finanční účty,“ objasnil princip fungování hackerského útoku Petr Kadrmas, bezpečnostní inženýr ze společnosti Check Point.

Jak probíhá útok přes Clast82:

  1. Na začátku si oběť stáhne z Google Play nějakou aplikaci obsahující i škodlivý kód Clast82.
  2. Clast82 následně komunikuje se svým velícím a řídicím serverem (C&C Server) a dostane další instrukce.
  3. Následně na zařízení stáhne a nainstaluje další hrozbu, v tomto případě AlienBot Banker, což je malware jako služba zaměřený na finanční aplikace a krádeže přihlašovacích údajů a ověřovacích kódů.
  4. Hacker tak získá přístup k finančním účtům obětí a zároveň má útočník plnou kontrolu nad infikovaným zařízením.
Diskuze (10) Další článek: Deepfake ve službách humoru. Aplikace Wombo rozezpívá každou selfie

Témata článku: Android, Aplikace, Google Play, Bezpečnost, Check Point, Hrozba, Malware, Zranitelnost, Zabezpečení, VPN, Hacker, C, GitHub, Vědomí, QRecorder, Petr Kadrmas, Telefon


Určitě si přečtěte

Skvělá zpráva pro řidiče: Mapy.cz podporují Android Auto
Karel Kilián
Android AutoMapy.czSeznam.cz
Nový iPad Pro zamotá hlavu hned dvakrát. Prvně výkonem, pak cenou
Martin Miksa
iPadOSiPadTablety
Xiaomi Mi 11 Ultra má dva displeje a nejlepší foťák na trhu

Xiaomi Mi 11 Ultra má dva displeje a nejlepší foťák na trhu

** Xiaomi Mi 11 Ultra láká na špičkový fotoaparát a druhý displej ** Dvojice modelů Mi 11 Lite uspokojí náročnější uživatele střední třídy ** Překvapením je odlehčená vlajková loď Mi 11i

Martin Miksa | 105

Martin Miksa
DxOMarkDruhý displej
Co nezvládl Apple, dokázali Číňané. Nabíječka AirPower je na světě, ale nese značku Xiaomi
David Polesný
Nabíjecí podložkaBezdrátové nabíjení